4689 Zホールディングス 2021-10-18 15:25:00
(開示事項の経過)LINE社におけるデータの取扱い等に関する「グローバルなデータガバナンスに関する特別委員会」最終報告書の受領のお知らせ [pdf]
2021 年 10 月 18 日
各 位
会 社 名 Z ホールディングス株式会社
代 表 者 名 代表取締役社長 Co-CEO(共同最高経営責任者)
川邊 健太郎
(コード:4689 東証第一部)
問い合わせ先 専務執行役員 GCFO(最高財務責任者)
坂 上 亮 介
(電話:03-6779-4900)
(開示事項の経過)LINE 社におけるデータの取扱い等に関する
「グローバルなデータガバナンスに関する特別委員会」最終報告書の受領のお知らせ
当社の連結子会社である LINE 株式会社(以下、LINE 社)が提供するコミュニケーションアプリ
「LINE」の国内ユーザーの日本国外での個人情報の取り扱いに関して、 ホールディングス株式会社
Z
(以下、ZHD または当社)は、2021 年 3 月 24 日付「LINE 社における個人情報の取扱い等に関する
お知らせ」で公表しましたとおり、2021 年 3 月 19 日付で、ZHD グループにおけるデータの取り扱
いをセキュリティ観点およびガバナンス観点から、外部有識者にて検証・評価する特別委員会「グロ
ーバルなデータガバナンスに関する特別委員会」
(以下、特別委員会)を設置し、同委員会において、
LINE 社のグローバル拠点における日本国内のデータのアクセスに関するデータガバナンスなどの検
証・評価等を行ってまいりました。
本日、当社は特別委員会より、添付のとおり「グローバルなデータガバナンスに関する特別委員会
最終報告書」を受領しましたので、お知らせいたします。
以上
グローバルなデータガバナンスに関する特別委員会
最終報告書
2021 年 10 月
目次
はじめに ................................................................................................................................. 4
エグゼクティブサマリー ........................................................................................................ 6
第 1 章 特別委員会の概要等 .............................................................................................. 11
(1)特別委員会の設置経緯 ......................................................................................... 11
(2)本委員会等の目的 ................................................................................................ 11
(3)本委員会等の構成 ................................................................................................ 11
(4)本検証の概要........................................................................................................ 12
(5)本委員会の審議の経緯について .......................................................................... 17
第2章 LINE アプリ関係の越境データアクセス及びデータ保管の状況 .......................... 19
1. 中国企業への業務委託 ................................................................................................. 19
(1)検証事項 ............................................................................................................... 19
(2)中国において開発・保守を行うに至った経緯等の調査(本件移管決定時の検討
等について) ................................................................................................................. 20
(3)中国開発拠点における LMP に関する日本ユーザーのデータ取扱いの実態等の検
証 ................................................................................................................................... 21
(4)LINE 社による改善策・改善結果 ........................................................................ 24
(5)ZHD 社と LINE 社の経営統合に先立って行われたいわゆるデュー・ディリジェ
ンスの状況について ...................................................................................................... 25
(6)本委員会の評価・提言 ......................................................................................... 25
2. 韓国のデータセンターから日本データセンターへのデータ移転 ............................... 27
(1)検証事項 ............................................................................................................... 27
(2)検証結果 ............................................................................................................... 30
(3)ZHD 社と LINE 社の経営統合に先立って行われたいわゆるデュー・ディリジェ
ンスの状況について ...................................................................................................... 30
(4)本委員会の評価・提言 ......................................................................................... 31
3. 個人情報保護委員会・総務省報告 ............................................................................... 31
(1)指導内容 ............................................................................................................... 31
(2)LINE 社による改善策 .......................................................................................... 32
(3)本委員会の評価・提言 ......................................................................................... 37
第3章 LINE 社のガバナンスに関する検証結果及び LINE 社による改善策 ................... 38
1. LINE 社の越境移転に関する対外的なコミュニケーションについて .......................... 38
(1)中国からのアクセスに関するコミュニケーション ............................................. 38
(2)韓国でのデータ保存に関するコミュニケーション ............................................. 38
2. 政策渉外関連................................................................................................................ 44
2
(1)政策渉外活動における対外的なコミュニケーションの実態についての検証 ..... 44
(2)捜査機関対応の実態についての検証 ................................................................... 52
(3)JILIS と LINE 社との関係についての検証 .......................................................... 53
3. 企業風土・心理的安全性について ............................................................................... 55
(1)LINE 社の取組み ................................................................................................. 55
(2)技術検証部会アンケート分析結果 ....................................................................... 57
(3)本委員会の評価・提言 ......................................................................................... 66
第4章 LINE 社の重要なデータを取り扱うグループ会社の状況 ..................................... 68
1. LINE Pay 社の越境データアクセス及びデータ保管の状況等 ..................................... 68
(1)越境データアクセス及びデータ保管の状況 ........................................................ 68
(2)対外的なコミュニケーションの実態についての検証.......................................... 70
2. LINE ヘルスケア社の越境データアクセス及びデータ保管の状況等 .......................... 71
(1)越境データアクセス及びデータ保管の状況 ........................................................ 71
(2)対外的なコミュニケーションの実態についての検証.......................................... 72
第5章 LINE 社におけるデータガバナンスの状況と改善に向けた提言 .......................... 74
1. LINE 社におけるデータガバナンスについて............................................................... 74
(1)LINE 社の海外子会社等を含むデータガバナンス体制 ....................................... 74
(2)本委員会の評価・提言 ......................................................................................... 81
2. LINE 社の政策渉外を含む対外コミュニケーションのあり方に関する提言 ............... 82
第6章 ZHD 社によるガバナンスの状況と改善に向けた提言 ......................................... 84
1. ZHD 社におけるデータガバナンス体制について ........................................................ 84
2. 社会インフラを提供する企業グループにおけるグローバルなデータガバナンスのある
べき姿 ............................................................................................................................... 85
(1)ZHD 社が実現すべきグローバルなデータガバナンスに関する改善に係る提言 86
(2)ZHD 社によるグローバルなデータガバナンスの改善に向けた具体的推進方法 89
(3)個別の分野における改善に係る提言 ................................................................... 91
第 7 章 おわりに................................................................................................................. 95
3
はじめに
LINE 株式会社(以下「LINE 社」といいます。
)が提供するコミュニケーションアプリ
「LINE」(以下「LINE アプリ」といいます。)は、日本社会で極めて多くの利用者を得
ており、公共機関も利用する等、デジタル社会のコミュニケーションインフラというべ
きものです。また、LINE アプリが通信の秘密の対象となる機微な情報を取り扱うもので
あることから、その適切な取扱い等に関するユーザーからの期待はとりわけ大きく、個
人情報の保護に係る法令をはじめとした日本の法令を遵守すべきことはもとより、より
高い信頼を得るための不断の実践が求められています。
しかし、LINE アプリにおいては、
①通信内容である送受信されたテキスト、画像、動画及びファイル(PDF など)のう
ち、ユーザーから通報されたものについて、個人情報保護法制が著しく異なる中国
の委託先企業からの業務に基づくアクセスがあり、このことについてユーザーに対
して説明をしていませんでした。
②送受信された画像、動画及びファイル(PDF など)が韓国のデータセンターに保存
されていたにもかかわらず、ユーザーを含め対外的には、「LINE の個人情報を扱う
主要なサーバーは日本国内にある」という不正確な説明をしていました。また、中
央省庁等に対して、「LINE アプリの日本ユーザーに関する全てのデータが『日本に
閉じている』」旨の、客観的事実に反する説明を一部で行っていました(以下①と②
をまとめて「本事案」といいます。。
)
このような LINE 社の対応は、LINE 社に対する社会的な信頼を損なうものでした。
近年、ユーザーや社会のニーズがますます多様化し、またその変化も加速する中で、
事業者による新しいサービスの提供サイクルも高速化することが求められています。他
方で、ユーザーや社会のプライバシー意識の高まり、米中間の緊張の高まり等を受けて、
事業者の適切な配慮が求められる領域は大きな広がりをみせています。特にデジタル領
域においては、上記のような対応が困難な課題を、いかにして同時に高度に満たすこと
ができるか、事業者がその巧拙を競っている状況にあります。
このような近年の状況は、Google、Apple、Facebook、Amazon が急速に成長した 10
年前とは大きく異なっています。アジア市場、グローバル市場を狙う Z ホールディングス
株式会社(以下「ZHD 社」といいます。
)及び LINE 社を含む Z ホールディングスグルー
プ(以下「ZHD グループ」といいます。
)は、まず、この点を理解しなければなりません。
2010 年頃から加速化した、資本の移動、技術の移転、人の交流が容易であった「安定的
なグローバル化」は、2020 年には資本、技術、人の動きに制約が求められる「不安定な
グローバル化」に変化しました。そしてこの流れは 2021 年現在、さらに加速しています。
既にグローバルな活動をしている企業、これからグローバルに進出していこうという
企業にとって、「ゲームのルール」が変わったことを知らないままにプレーをすることほ
ど、リスクの高いものはありません。「不安定なグローバル化」への対応にあたって、特
4
に重要なファクターの一つは経済安全保障です。米中の地政学的な緊張に由来する経済
安全保障は、企業経営にとって「めったに発生しないけれども、顕在化した場合には壊
滅的な影響をもたらすリスク」である、「ブラックスワン」ではもはやありません。それ
は、「発生する可能性が高く大きな影響を起こすかもしれないのに軽視されがちなリスク」
である、
「灰色のサイ」になっています。
この数年、特にこの数か月における、こうした国際的な事業環境の変化への対応は、
大量のデータを扱いサービスを提供するデジタルプラットフォーム事業者にとって、最
重要の経営課題です。
また、日本国内では、改正個人情報保護法、個人データの取得・利用が優越的地位の
濫用に該当し得ることを射程に入れた独占禁止法ガイドライン、ISMAP 認定事業者によ
る政府機関等へのサービス提供を限定するサイバーセキュリティの改訂ガイドラインな
ど、企業経営にとって重要な法令や指針が次々に出されています。
こうした複雑化する社会経済状況の中で、経済活動をグローバルに行うデジタルプラ
ットフォーム事業者は、規制に受動的に対応するという発想から抜け出し、社会の懸念
を先取りした自主規制や、自主規制を国際ルールへと高めて行くような、秩序形成を主
導できる次元の企業ガバナンスへ、自らの思想を革新していく必要があります。具体的
には、「静的ガバナンス」から「動的ガバナンス」へ、「ライアビリティ」重視から「ア
カウンタビリティ」重視へ、そして利用者にとってより良い規範を提示してそれを受け
入れる行動変容を導く「Thought Leadership」を重視したグローバルなガバナンスを、継
続的にアップデートしていくことが求められています。
グローバルなデータガバナンスに関する特別委員会(以下「本委員会」といいます。)
は、こうしたガバナンスのアップデートを実行するために、「ユーザー目線での横と縦の
ガバナンス」を求める提言を、本報告書の第 6 章で行っています。
ZHD 社及び LINE 社を含む ZHD グループが、本委員会の提言を 1 つ 1 つ着実に実現
し、ユーザーや社会に受け入れられながら、アジアでそしてグローバルに、大きな飛躍
を遂げていくことを期待しています。
2021 年 10 月
グローバルなデータガバナンスに関する特別委員会
5
エグゼクティブサマリー
1. 本委員会の主な所見
本委員会は、①LINE アプリにおいて、通信内容である送受信されたテキスト、画像、
動画及びファイル(PDF など)のうち、ユーザーから通報されたものについて、個人
情報保護法制が著しく異なる中国の委託先企業から業務に基づくアクセスがあり、こ
の委託の決定の過程において、LINE 社においてガバメントアクセスへのリスク等の経
済安全保障への適切な配慮ができていなかったこと及び事後的にもこれを見直す体制
が整備できていなかったことに、本質的な問題点があったと判断しました。
さらに、②LINE アプリにおいて送受信される画像、動画、ファイル(PDF など)が
韓国のデータセンターに保存されていたにもかかわらず、ユーザーを含め対外的には、
「LINE の個人情報を扱う主要なサーバーは日本国内にある」という不正確な説明をし
ていたこと、また、中央省庁等に対しては、「LINE アプリの日本ユーザーに関する全
てのデータが『日本に閉じている』」旨の客観的事実に反する説明を一部で行っていた
ことについて、LINE 社が、LINE アプリが日本のサービスとして受け入れられること
を重視し、韓国とのかかわりを正面に出さないコミュニケーションをしていたことに、
本質的な問題点があったと判断しました。
本委員会は、ZHD 社において複雑化する地政学的リスクについて一元的に情報を収
集、分析、評価することができる体制を整備するとともに、経済安全保障に関して各
国政府と的確なコミュニケーションを取るために政府渉外活動の一元的な管理を行う
ことを求めています。また、政策渉外を含む対外的なコミュニケーションに関し、
LINE 社が、自らのデータの取扱い等について客観的な事実を誠実に伝えるという点に
コミットすべきであり、「相手にどう受け止められるか」ということからコミュニケー
ションの内容を決めるような傾向を改めることを求めています。
その上で、本委員会は、ZHD 社が主体となって、グループ全体が調和をもった形で
一元的かつ統一的で適切な牽制体制を構築すべく、「ユーザー目線での横と縦のガバナ
ンス」を適切なバランスで構築するよう提言しています。
2. 最終報告書の位置づけ
本委員会は、本事案について、2021 年 6 月 11 日に第一次報告として、同年 8 月 4 日
に第二次報告として、それぞれ公表までの時点で本委員会の検証により判明した事項
と、それに対する本委員会の評価を公表しました。この最終報告書(以下、「本報告書」
といいます。)は、第一次報告及び第二次報告の内容に加え、第二次報告以降に検証し
た事項とそれに対する本委員会の評価と、それらを前提に、LINE 社及び ZHD 社が将
来に向かって適切なグローバルなガバナンスを実現していくために実施すべき事項等
6
を、本委員会の提言としてまとめ公表するものです。
3. これまでの検証により判明した事実等
(1)LINE 社の中国のグループ会社への委託業務に関する検証
LINE 社による中国のグループ会社への業務委託について、本委員会が調査した範囲
内においては、不適切なデータへのアクセスは確認されず、外部への情報漏えいの事
実は認められませんでした。
他方で、LINE 社が中国のグループ会社に業務を委託することを決定する過程では、
ガバメントアクセスのリスクに焦点を当てた検討はされていませんでした。また、事
後的にこれらの決定を見直す体制も整えられていませんでした。
本委員会は、この点に関する改善策として、ZHD 社に設置する「データガバナンス
分科会」が、日本ユーザーの個人情報の保存・アクセスを許容する国・地域に関する
ルールを作成すること、また、LINE 社及び ZHD 社の親会社等も含めたグループ全体
で経済安全保障に関するガバナンス体制を構築するよう提言しました。
(2)韓国サーバーで保存されている日本ユーザーのデータ移転に関する検証
韓国のサーバーに保管されている日本ユーザーの日本のデータセンターへの移転に
ついて、本報告書公表の時点で、LINE 社が公表しているスケジュールに従って適切に
実施されていることを確認しました。
(3)政策渉外活動、対外コミュニケーションに関する検証
ユーザーを含め対外的に、「LINE の個人情報を扱う主要なサーバーは日本国内にあ
る」という不正確な説明をしていたこと、中央省庁等に対して、「LINE アプリの日本
ユーザーに関する全てのデータが『日本に閉じている』」旨の客観的事実に反する説明
を一部で継続的に行っていたことが、確認されました。本委員会は、LINE 社は客観的
な事実を誠実に伝えるという点にコミットすべきであり、このようなコミュニケーシ
ョンは不適切なものであったと判断しました。
本委員会は、この点に関する改善策として、事前チェック体制の強化、関連規程や
マニュアルの整備及び見直し、重要なポリシーに関する正確な理解を共有するための
マテリアルの作成、政策渉外機能と公共政策機能の分離、政策渉外活動のモニタリン
グ、口頭を含む発信内容の記録化、内部統制部門による事後検証の実施等を提言しま
した。
(4)企業風土・心理的安全性についての検証
LINE 社が、意識調査、教育研修、経営陣と従業員のコミュニケーション等、一定の
適切な対応を実施していたことを確認しました。
本委員会は、技術検証部会が中心になって、従業員に対するアンケートを実施しま
7
した。定量分析からは、「組織内の上司や同僚への相談」や「所属組織での率直な問題
提起」等について、大半がポジティブな回答をしており、組織内において従業員が率
直に意見を述べたり、問題提起をしたりできる傾向が見られました。
しかし、アンケートの回答率が 30%台に留まったことに加え、自由記述回答及びイ
ンタビューの分析結果からは、組織間におけるコミュニケーションに関して忌憚のな
い問題提起等が行われていない場面や、問題提起に対してどのように対応したのか等
の事後的なフォローがなされていない可能性があることも、確認されました。本委員
会は、相対的に人数の少ないセキュリティ部門や法務部門の意見が適切に意思決定に
取り入れられていないと思われる等、LINE 社における企業風土・心理的安全性の実態
を定量的な傾向だけから捉えることは適切ではないと判断しました。その上で、本委
員会は、LINE 社の企業風土・心理的安全性の確保のための事項を提言しました。
4. LINE 社におけるデータガバナンスの状況と改善に向けた提言
LINE 社は、本委員会に対して、(1)データの安全な管理体制の強化として、①全社
的なリスク管理体制、②海外子会社管理体制、③開発体制、④個人情報保護体制、⑤
経済安全保障に関する管理体制について、(2)ユーザー・中央省庁を含むステークホル
ダーへの説明責任の強化として、情報収集・管理体制、情報発信体制について、(3)総
務省・経済産業省「DX 時代における企業のプライバシーガバナンスガイドブック
ver1.1」が掲げる 3 要件への取組みについて、具体的な改善策・強化策等を示すととも
に、その進捗についてモニタリングしていくことを報告しました。
本委員会は、LINE 社が自らの課題を的確にとらえて改善を進めているものと評価し
た上で、LINE 社がこれらの改善策・強化策等が継続的に実施するための体制を強化す
るよう提言しました。
また、本委員会は、LINE 社の政策渉外を含む対外コミュニケーションについて、客
観的な事実を誠実に伝えるという点にコミットし、そのために必要な体制を整備する
よう提言しました。
5. ZHD 社におけるデータガバナンスの状況と改善に向けた提言
ZHD 社は、研究開発、データ利活用、プライバシーとセキュリティをバランスよく
強化し、これらが三位一体となって適切に組み合わされたデータガバナンスのあり方
を協議するための「データガバナンス分科会」を設置して、事業会社が守るべきポリ
シーやルール等を策定し、個々の事業会社がそれらを遵守しているかを評価等するこ
と、また、事業会社に対して「3 ライン・モデル」を基礎とした 3 線構造のガバナンス
システムの導入を求めること等を、本委員会に対して報告しました。
これを受けて本委員会は、ZHD 社が実現すべきグローバルなデータガバナンスにつ
いて、「ユーザー目線での横と縦のガバナンス」を構築するよう提言しました。各事業
会社において「3 ライン・モデル」を導入すること等によって「横のガバナンス」を強
8
化し、ZHD 社において、事業会社による「横のガバナンス」が適切かつ円滑に運用さ
れ、ZHD グループ全体が一元的な体制の下、調和をもった形で適切に事業運営を行う
ための諸条件を満たしていることをチェックする「縦のガバナンス」を高度かつ適切
なバランスで実現するよう提言しました。
また、以下に記載する個別の領域におけるものも含め、本委員会の提言に関する
ZHD 社及び LINE 社における対応の状況に関しては、別途 ZHD 社が設置する有識者
会議等に継続的に報告し、その助言を受けながら確実に実現していくよう提言しまし
た。
個別の領域における対応としての提言は以下のとおりです。
(1)政策渉外
① 「縦のガバナンス」を適切に効かせ、ZHD グループ全体において適材適所の人
事配置を推進していくこと
② ユーザー代表を含む第三者の意見を求める有識者会議を設置すること
(2)経済安全保障
① データ保護に関するユーザーの不安を解消するための努力の一環として、真摯
に有識者や消費者団体の声に継続的に耳を傾ける体制を整備すること
② 海外の事業会社も含め、ZHD グループ全体において複雑化する地政学的リスク
に対応することができるよう、一元的に情報を収集、分析、評価することができ
る体制を整備すること
③ 経済安全保障に関して各国政府と的確なコミュニケーションを取るために、政
府渉外活動の一元的な管理・連携を行うこと
④ 経済安全保障分野では法律では定められていないことを先取りして対応するこ
とが求められることを踏まえ、ZHD グループのサービスへの外国による影響を適
切にコントロールするために、外国における法令等の検討状況や日本と外国の関
係の状況等について調査する体制を強化するともに、経済安全保障をめぐる環境
変化を経営に反映するための体制強化を行うこと
(3)セキュリティ
① 既に取り組んでいる NIST(米国標準技術研究所)の定める SP800-171 をはじめ
としたセキュリティ基準への準拠に加え、政府情報システムのためのセキュリテ
ィ評価制度(Information system Security Management and Assessment Program:
通称、ISMAP(イスマップ))への対応についても検討すること
② 既に取り組んでいる「サイバーセキュリティ年度対策方針」の策定とそれに基
づく各事業会社の進捗状況の管理、事業会社への支援(コンサルティング)及び
各事業会社の実態に応じた適切なリソース配分実現のための人的支援等を、継続
9
的に実施すること
(4)プライバシー
① 主要事業会社における独立性の高い Data Protection Officer(データ保護責任者、
DPO)と Privacy Impact Assessment(プライバシー影響評価)を導入すること
② 事業会社の DPO 等が連携できる体制や教育プログラム、コンサルティングの提
供を含むグループ内の人的リソースの最適化のための体制を整備すること
③ NIST プライバシーフレームワークに準拠すること
④ 事業会社における令和 2 年改正個人情報保護法の越境移転規制への対応について、
ZHD 社が主体となって ZHD グループ全体で取り組んでいくこと
(5)リスクマネジメント
今後の新たに生じるリスクに対し適切な対応が取れるよう、ZHD 社の体制を強化
すること
以上
10
第1章 特別委員会の概要等
(1)特別委員会の設置経緯
2021 年 3 月 17 日、LINE 社が提供する LINE アプリについて、ユーザーのメッセー
ジの内容に中国の委託先企業からアクセスができる状態であった旨の報道がなされた
ことから、同日、LINE 社は、プレスリリースにより経緯の説明を行った。
同年 3 月 19 日、2021 年 3 月 1 日の経営統合1に伴い LINE 社の完全親会社となった
ZHD 社は、この事態を受けて、LINE 社におけるデータの取扱いについて、セキュリ
ティ及びガバナンスの観点から外部有識者にて検証・評価するため、本委員会を設置
し、本事案に係る事実確認及び検証を開始した(以下、本委員会による検証を「本検
証」という。 。また、本委員会を技術的知見から支援するため、サイバーセキュリテ
)
ィ分野における外部の専門家で構成される技術検証部会をあわせて設置した。
(2)本委員会等の目的
本委員会は、本事案について、その事実関係の検証・評価、経済安全保障にも配慮
したプライバシー及びセキュリティの確保のあり方、これらを実現するためのガバナ
ンスのあり方について、第三者の立場で提言すること等を目的とする。
また、技術検証部会は、本委員会からの指示による LINE 社での日本ユーザー2のデ
ータ取扱いの実態把握、及びサイバーセキュリティに関する技術的観点からの監査等
を実施することを目的とする。
(3)本委員会等の構成
本委員会の構成は、以下のとおりである。※敬称略
座長 宍戸 常寿(東京大学大学院法学政治学研究科 教授)
委員 大橋 弘 (東京大学公共政策大学院 院長)
委員 河合 優子(西村あさひ法律事務所 パートナー 弁護士)
委員 川口 洋 (株式会社川口設計 代表取締役)
1
2021 年 3 月 1 日付け Z ホールディングス株式会社及び LINE 株式会社「Z ホールディン
グスと LINE の経営統合が完了」を参照(https://www.z-holdings.co.jp/pr/press-
release/2021/0301b/)。
2
基本的には登録されている電話番号等によりユーザーの登録国家・地域を判別してい
る。例えば、LINE アプリのプロフィールの電話番号変更画面に表示される国名で自身に
設定されている国名を確認することができる。
11
委員 國分 俊史(多摩大学ルール形成戦略研究所 所長)
委員 長田 三紀(情報通信消費者ネットワーク)
委員 森 亮二 (英知法律事務所 弁護士)
技術検証部会の構成は、以下のとおりである。※敬称略
座長 川口 洋 (株式会社川口設計 代表取締役)
委員 上野 宣 (株式会社トライコーダ 代表取締役)
委員 北條 孝佳(西村あさひ法律事務所 カウンセル 弁護士)
本委員会が本検証を行うに当たり、LINE 社はその事実関係の報告等の補助者として、
長島・大野・常松法律事務所に所属する弁護士 7 名を任命し、同弁護士らに本検証に関
わる報告等の一部について補助を委託した。なお、担当弁護士はいずれも本件に関し
て ZHD 社及び LINE 社との間に利害関係を有しない。
(4)本検証の概要
① 本検証の性格
本委員会は、本検証の目的に照らして必要な範囲で ZHD 社及び LINE 社の協力を
得て本検証を実施した。基本的には、ZHD 社及び LINE 社による調査結果の報告を
受けて、本委員会が論点を明確にし、それを前提として本委員会が示した課題に対
する改善策等の報告を受ける形で、本検証をすすめた。本検証においては、LINE 社
の役職員をはじめとする関係者に対するインタビュー3のほか、一部の電子メール、
チャットの履歴、電子データ等の資料の確認を実施した4。
なお、本検証は、LINE 社及びその役職員個人の法的な責任を追及することを目的
とするものではない。
② 本検証の全体像と本委員会による提言
本委員会は、本事案の事実関係や原因を明らかにするため、徹底的かつ総合的な
検証を行うとの方針の下、LINE 社のサービスの全体像、開発体制や利用者のデータ
の取扱いの全体像等を幅広く検証の対象とした。その上で本委員会は、2021 年 10 月
11 日までに実施した検証結果を踏まえ、今後、LINE 社及び ZHD 社に求められるガ
3
LINE 社の補助者である、長島・大野・常松法律事務所によるインタビューを含む。
4
本検証の目的、性質及び時間的制約等を考慮し、本検証においては、網羅的なデータ・
フォレンジック調査は実施していない。
12
バナンス体制のあり方等について提言を行った。
なお、LINE 社の関連会社のうち、LINE Pay 株式会社(以下「LINE Pay 社」とい
う。)及び LINE ヘルスケア株式会社(以下「LINE ヘルスケア社」という。
)は、そ
れぞれサービスの利用者に関する口座残高情報やクレジットカード情報、利用者の
既往歴や保険証の情報等を取り扱っており、両社が特に重要性の高い個人情報を扱
う子会社であることから、本委員会は、本事案と類似の問題が生じていないかを確
認するため、外国からの日本ユーザーの情報へのアクセス等の状況とそれに関する
対外説明の正確性・適切性という観点から、追加の検証を実施した。
③ 本委員会等の開催状況
本委員会の開催状況は、以下のとおりである。
回 日付 議題
第1回 3月23日 LINE社のグローバルデータガバナンスの現状と今後の方針に
ついて
第2回 4月13日 ①技術検証部会についての報告、②中国における委託先に関
係するLINE社の開発・セキュリティ体制等に関する説明、
③ZHDグループのデータガバナンス向上に係る取組みについ
ての説明
第3回 4月28日 ①技術検証部会についての報告、②個人情報保護委員会及び
総務省からの行政指導における指摘事項と改善点等について
の説明
第4回 5月19日 ①技術検証部会についての報告、②開発体制における中国の
委託先の役割、データアクセスの実態、個人情報・セキュリ
ティ体制の実態等についての説明、③個人情報保護委員会及
本 び総務省からの行政指導への対応策の報告、④第一次報告に
委 ついて
員 第5回 6月9日 ①技術検証部会についての報告、②政策渉外、韓国からのデ
会 ータ移管の状況等、中国法人の委託先におけるソフトウエア
開発の経緯についての説明、③経営統合に向けたデュー・デ
ィリジェンスの内容について、④第一次報告について
第6回 7月19日 ①技術検証部会についての報告、②政策渉外、LPL(LINE
Police Inquiry)移管・捜査機関対応手続に関する検証結果、
企業風土・心理的安全性に関する検証結果、LINE Pay社、
LINEヘルスケア社に関するデータの取扱い、現在のLINE社
における改善状況等の説明、③一般財団法人情報法制研究所
13
(以下「JILIS」という。)へのヒアリングについての説明、
④ZHD社データガバナンス分科会についての説明、⑤中国で
の個人情報以外の業務の見直しについての説明、⑥第二次報
告について
第7回 8月23日 ①技術検証部会による、技術検証部会の活動状況及びLINE社
社員向けアンケートについての報告、②政策渉外関連の検証
事項の補足的な説明及び改善策の進捗状況等、個人情報保護
委員会・総務省の指摘に対する改善策の実施状況、金融庁に
対するLINE Pay社の対応、LINE社の海外子会社に対するガ
バナンス体制の検討状況等に関するLINE社からの説明、③
JILISとLINE社に関する検証結果、④最終報告に向けた自由
討議
第8回 9月13日 ①政策渉外関連、LINE社におけるデータガバナンスの改善・
強化策に関するLINE社からの説明、②技術検証部会による、
技術検証部会の活動状況及びLINE社社員向けアンケートにつ
いての報告
第9回 9月27日 ①技術検証部会に関する状況報告、②最終報告書骨子に関し
て全体説明
第10回 10月11日 最終報告書案に関する全体説明
技術検証部会の開催状況は、以下のとおりである。
回 日付 概要
第1回 4月5日 LINEアプリに関するサーバー、インフラ基盤、開発・運用、
データ保護、プライバシーポリシーの改定について
第2回 4月7日 LINEアプリに関するE2EEの暗号方式、暗号アルゴリズム、
E2EEの鍵生成及び鍵交換等に関する仕様について
第3回 4月14日 LINEアプリに関するモニタリング業務、開発・運用、データ
技 暗号化について
術 第4回 4月23日 LINEアプリのLMP(LINE Monitoring Platform)及びLPL、
検 開発・運用、3rdパーティーモジュール、物理セキュリティ、
証 データ暗号化に関する安全管理措置について
部 第5回 4月28日 Shanghai LINE Digital Technology Limited. ( 以 下 「 LINE
会 China社」という。)に関する詳細(業務内容、業務フロー、
アクセス権限の管理等)の説明、個人情報へのアクセスに関
する調査範囲及び調査内容に関する説明
14
第6回 5月12日 データ移転計画の全体像の確認、移転対象及び移転方法等に
関する説明、LINE社及びグループ会社のセキュリティ管理体
制の説明
第7回 5月17日 データ移転計画について、移転対象やスケジュールに関する
議論、データ移転完了に関する技術的な確認方法に関する議
論
技
第8回 5月28日 日本国内へのデータ移転計画に関する詳細の説明及び議論、
術 ベンダーによる技術検証のための証跡準備等に関する議論
検
第9回 6月4日 日本国内へのデータ移転計画について、データ移転前後の技
証 術的な検証方法に関する具体的な説明及び議論、技術検証部
部 会の委員からの依頼事項に対する実施状況の報告及び相談並
会 びに追加質問に対する回答
第10回 6月16日 LINE社及びグループ会社で提供するサービス、取り扱うデー
タ、及びデータの保管場所等を整理した資料に関する説明及
び議論、ベンダーによる技術検証の証跡準備等に関する報告
第11回 6月30日 LINEアプリにおけるトーク5のデータ移転が完了したことを踏
まえ、移転状況の説明及び検証に関する議論等
第12回 7月14日 技術検証部会委員による追加質問への回答、パソコンの
Security Updateの対応結果に関する説明、ZHD社内の分科会
に関する説明、本委員会に向けた報告内容に関する説明
第13回 7月28日 技術検証部会が主管するLINE社社員向け調査についての準備
状況の報告及び直近のタスクに関する意識合わせ、本委員会
第二次報告書についての技術検証部会の委員によるレビュー
結果に関する詳細の説明
第14回 8月16日 LINE公式アカウント及び他データの移転状況の詳細、その他
実施中のデータ移転の状況についての報告、技術検証部会が
ベンダーによる技術検証の一部として調査・検証を実施した
領域についての調査結果の報告、技術検証部会が主管する
LINE社社員向け調査についての回答状況の報告及び今後の進
め方に関する報告
第15回 9月10日 LINE公式アカウント及び他データの移転状況についての移転
5
本報告書においては、LINE アプリの「アルバム」や「ノート」「Keep」等のサービス
、
を除いた、テキスト、画像、動画及びファイルの送受信によるメッセージングサービスの
みを指す。
15
内容の詳細に関する報告、その他実施中のデータ移転の状況
についての報告、技術検証部会が主管するLINE社社員向け調
査についてのアンケートの回答及びインタビューの結果に関
する報告
④ 本事案に関する ZHD 社及び LINE 社の対応の主な経緯
本事案に関する ZHD 社及び LINE 社の対応について、本報告書公表までの主な経
緯は、以下のとおりである。
日付 対応会社 対応内容
3月17日 LINE社 日本ユーザーの個人情報に関する一部報道について、プレ
スリリースにおいて経緯を説明
3月19日 ZHD社 本委員会を設置し、本事案に係る事実確認と検証を開始
3月23日 LINE社 個人情報保護委員会へ報告書を提出し今後の対応方針を発
表
中国での日本ユーザーの個人情報へのアクセスを遮断
中国でのLINEアプリのコミュニケーションに関連する機
能・サービスに係る開発・保守業務や運用業務を終了
3月29日 LINE社 金融庁へ報告書を提出
3月31日 LINE社 日本ユーザーを対象としたプライバシーポリシーを改定
外国からのアクセスや保管に係るデータ移転について、国
名や関連業務等を明示
4月19日 LINE社 総務省へ報告書を提出
4月23日 LINE社 個人情報保護委員会より、個人情報の保護に関する法律第
41条の規定に基づく指導を受け、改善策を発表
4月26日 LINE社 総務省より、社内システムに関する安全管理措置等に関す
る事項及び利用者への適切な説明に関する事項について指
導を受け、改善策を発表
4月27日 LINE社 LINEアプリの通報機能における説明文言の誤表示に関する
お詫び及び該当の説明文言を修正
4月28日 LINE社 LINE Pay社等における情報の安全対策の取組みを発表
4月30日 LINE社 LINE Pay社等の金融サービスのプライバシーポリシー改定
5月21日 LINE社 個人情報保護委員会に指導事項に係る改善報告書を提出
(第1回)
16
5月31日 LINE社 総務省に指導事項に係る改善報告書を提出
金融庁への報告書を再提出
6月2日 LINE社 LINEアプリのアルバムやKeep等のデータの日本国内移転
スケジュールについて発表
6月11日 ZHD社 本委員会の第一次報告を発表
LINE社 LINE社におけるデータガバナンスに係る改善策と取組みの
進捗状況について公表(日本ユーザーのデータの日本国内
移転スケジュールを含む。)
6月22日 LINE社 上記スケジュールのうち、トークのデータ移転が完了した
ことを公表
6月23日 LINE社 個人情報保護委員会に指導事項に係る改善報告書を提出
(第2回)
7月8日 LINE社 LINEヘルスケア社のプライバシーポリシーの改定
7月21日 LINE社 個人情報保護委員会に指導事項に係る改善報告書を提出
(第3回)
8月4日 ZHD社 本委員会の第二次報告を公表
8月4日 LINE社 LINEの中国における今後の業務方針について公表
8月23日 LINE社 個人情報保護委員会に指導事項に係る改善報告書(第4回)
を提出
9月22日 LINE社 個人情報保護委員会に指導事項に係る改善報告書(第5回)
を提出
(5)本委員会の審議の経緯について
LINE 社は、
「LINE のグローバルデータガバナンスの現状と今後の方針」
(2021 年 3
月 23 日)において、
「トークデータの完全国内移転」というタイトルのもとで、韓国の
データセンターに保管されているトーク内の画像・動画・ファイルデータの国内移転
を 2021 年 6 月までに完了予定であること、タイムラインについて、LINE 公式アカウ
ントについては 2022 年 6 月、LINE のユーザーについては段階的に、それぞれ移転予
定であることをユーザー及び社会に説明していた。しかし、技術検証部会によるデー
タ移転計画の調査において、LINE 社が、Keep サービス(LINE アプリで送受信された
テキスト、画像、動画、ファイル(PDF など)を自己が利用する目的で保存する機能)
については 2022 年上半期、アルバムサービス(画像をトークルームに参加している者
の間で共有するために保存する機能)については、2024 年上半期にデータ移転を計画
していることが判明した。通常のユーザーには Keep サービスやアルバムサービスを含
むトークに関する画像・動画等が 2021 年 6 月までに完全に日本国内に移転するものと
受け止められるのが自然であることから、ユーザーにとってわかりやすい説明を行う
17
ことを LINE 社に促すため、本委員会は、第 4 回会合において、周知内容を分かりやす
い内容に緊急に改め再周知すること及びこのようなことが二度と起こらないように速
やかなガバナンス体制の構築を求める旨、本委員会の総意で LINE 社及び ZHD 社に対
して意見書を提出した。
また、それまでの本委員会における各指摘や質疑応答等を経てもなお、LINE 社の
「正確で分かりやすい情報発信」に対する意識について不十分であると判断したこと
から、「不正確な情報の発信」に関し、問題の重要性を LINE 社において十分に認識す
ることを求めるため、本委員会は第 7 回会合において、LINE 社の経営陣から従業員に
いたるまで、利用者の目線に立って、「正確で分かりやすい情報発信」によりアカウン
タビリティを果たすよう、そのことをまず本事案に関する今後の検証作業において実
践し、最終報告書の作成のために本委員会に真摯に協力するよう求める旨、本委員会
の総意で LINE 社に対して意見書「最終報告書の作成に向けて ~第二次報告書の作成
の過程を振り返って~ 」を提出した。
18
第2章 LINE アプリ関係の越境データアクセス及びデータ保管の状況
1. 中国企業への業務委託
(1)検証事項
本委員会は、LINE 社の中国子会社であり業務再委託先でもある LINE China 社にお
ける LINE 社のサービスの開発及び保守業務6に伴う LINE アプリの日本ユーザーの個人
情報(通報されたメッセージの内容を含む。)へのアクセスに関して、以下の検証を行
った。
① LINE 社による LINE China 社への業務委託、とりわけ 2016 年 10 月の LINE China
社への LPL(LINE Police Inquiry)7開発・保守業務の移管決定(以下「本件移管決
定」という。)当時及びその後において、主に中国におけるガバメントアクセスの
観点から、日本ユーザーの個人情報が LINE China 社からアクセスが可能であった
ことについてどのようなリスクが存在し、それに対して LINE 社がどのような検討
や見直しを行っていたのかについての検証
② 技術検証部会による、LINE 社の中国に設置された開発拠点からの LMP(LINE
6
LINE 社のモニタリング業務支援システム(LMP)の開発及び保守業務並びに捜査機関
対応業務従事者用コンテンツマネジメントシステム(LPL)の保守業務。
7
LPL とは捜査機関対応従事者が捜査機関からの要請に基づいて情報提供する際に、
Letter Sealing による End to End の暗号化措置(後述)が実施されていないトーク内容や
トーク履歴(トークの送受信日時、トークに参加しているユーザー)
、ユーザー登録情報
等のデータを抽出するために利用するツールである。なお、トークの内容については、
LINE アプリのトークルームに参加している全てのユーザーが、Letter Sealing を利用して
いる場合は End to End での暗号化措置がとられているため LINE 社においてもその内容を
閲覧できず、捜査機関から要請を受けた場合であってもこれを開示することはできない。
なお、複数人又はグループでのトークで人数が 51 人以上のときは Letter Sealing の適用は
ない。
19
Monitoring Platform)8に関する日本ユーザーのデータ取扱いの実態等の検証9
なお、LINE 社の業務委託先である LINE China 社による安全管理措置の実施状況の
監査等の調査については、個人情報保護委員会及び総務省において実施されたことか
ら、本委員会の検証はこれらによる調査結果に依拠した。
(2)中国において開発・保守を行うに至った経緯等の調査(本件移管決定時の検討等に
ついて)
① 調査方法
LINE China 社から日本ユーザーの個人情報にアクセス可能であったことに関して、
主に経済安全保障の観点から、以下の点について検証を行った。
・本件移管決定当時(2016 年 10 月)における中国国家情報法(以下「国家情報法」
という。)等の経済安全保障に関連する中国の法制度(以下「国家情報法等」と
いう。
)に関する LINE 社内における議論の有無、内容等
・本件移管決定後、LINE 社における国家情報法を含む中国のガバメントアクセス
に関するリスク等を踏まえた業務・開発体制の見直しの検討状況等
② 調査結果
LINE 社の情報セキュリティ部門は、従前より、外部の法律事務所を起用する等し
て外国の個人情報保護法制についてのリサーチを行い、リスク評価を行っていた。
しかし、2015 年頃に中国における LINE アプリのサービスを中止していたこともあ
り、国家情報法等のように、個人情報保護法制そのものではないものの情報管理に
影響を与え得る外国法制について、網羅的にはリサーチ対象に含めていなかった。
8
LMP とは、主に LINE グループの様々なサービスを対象とする利用者からの「通報」に
対応するツールである。
「通報」とは、LINE アプリの場合、メッセージの受信者が端末で
メッセージ(画像等を含む。以下同じ。
)を受信した後に、何らかの理由で当該メッセー
ジが不適切であると判断した場合に、当該通報対象となるメッセージの内容を LINE 社に
対して送信する機能である。LINE 社は、通報されたメッセージの内容を確認し、
「LINE
利用規約」に基づき必要に応じてメッセージの削除等の送信者のサービス利用の制限、送
信者のアカウントの停止又は削除等の措置を講じている。
9
なお、LINE China 社からの LPL の保守業務に伴うアクセスについては、2020 年 3 月
19 日から 2021 年 3 月 19 日までの間において、LINE China 社の従業員が、LPL の不具合
発生時の障害解析等のために、業務指示に基づき、特定の利用者(1 名)のトーク履歴に
11 回アクセスしたものであったことが確認されている。詳細は本委員会第一次報告書 12
頁「5 海外委託関連の事実:概要」を参照。
20
そのため、LINE 社において、本件移管決定当時、国家情報法等に関する詳細な議論
や検討は行われていなかった。
また、本件移管決定後においても同様に、国家情報法等に係る中国のガバメント
アクセスのリスクを踏まえて LINE China 社への業務・開発体制の見直しを検討して
いなかった。
(3)中国開発拠点における LMP に関する日本ユーザーのデータ取扱いの実態等の検証
① 検証方法
LINE 社は、ユーザー全体の権利保護や未成年者保護等を図り、安全なサービス運
営に努めるため、LMP というシステムを用いて、スパム行為等に該当するメッセー
ジやその他のコンテンツ10を送信したユーザーのアカウントについて、アカウント削
除等の措置を講じるモニタリングを実施11している。モニタリングの目的で LINE 社
又はその委託先がユーザーが送信したメッセージその他のコンテンツを確認する場
合は、大きく次の 3 つに分類される。
・LINE メッセンジャー及び他のサービス(タイムライン、オープンチャット等)
においてユーザーが通報機能を使ってメッセージその他のコンテンツについて
通報した場合に、当該通報対象となったメッセージその他のコンテンツを確認
する場合
・不特定多数のユーザーに公開されたコンテンツ(公開設定をしたタイムライン12
への投稿等)を確認する場合
・多数のユーザーへのコミュニケーションを目的とする機能(例えば、参加コー
10
わいせつ画像・残虐な画像、児童ポルノといった有害コンテンツの不特定への配信にあ
たるメッセージその他のコンテンツ又は脅迫・詐欺等の犯罪行為につながるおそれがある
メッセージその他のコンテンツをいう。
11
LMP によるモニタリングとは、不適切なコンテンツを発見、削除等する業務であり、
LINE 社の子会社である LINE Fukuoka 株式会社(以下「LINE Fukuoka 社」という。
)に
委託され、同社及びその再委託先の日本法人の子会社である中国法人が実施していた。具
体的には日本ユーザーの通報されたトークと画像、動画等は LINE Fukuoka 社が、オープ
ンチャットとタイムライン(公開範囲が限定されているものを除く。
)については同中国
法人がそれぞれモニタリングを行っていた。LINE China 社は、モニタリング業務の委託
は受けていない。
12
詳細は、LINE 社ウェブサイト「LINE みんなの使い方ガイド」内の「タイムラインに
投稿する」を参照(https://guide.line.me/ja/timeline/post-timeline.html)。
21
ドの入力を必要とする設定をしたオープンチャット13でのトークや公式アカウン
ト14から当該公式アカウントの友だちであるユーザーへ一斉配信されるトーク)
を利用する際に、あらかじめモニタリングをする旨の同意を取得した上で確認
する場合
なお、LINE アプリのトークで送信されたテキストメッセージ等については、通信
の秘密により保護されるものであるため、上記の通報を契機とするモニタリングの
場合を除き、モニタリングを実施しておらず、フィルタリング等によるメッセージ
内容の機械的な閲覧も行われていない。そもそも、LINE アプリのトークで送信され
たテキストメッセージ等は、Letter Sealing を利用した End to End での暗号化措置
(以下「E2EE」という。
)等がとられており、LINE アプリのトークルームに参加し
ている全てのユーザーが、Letter Sealing を利用している場合15、LINE 社及び LINE
China 社を含む LINE グループ各社は、LINE アプリのトークで送信されたテキスト
13
詳細は、LINE 社ウェブサイト「LINE みんなの使い方ガイド」内の「オープンチャッ
トを利用する」を参照(https://guide.line.me/ja/services/openchat.html)
。また、トーク
ルームに対する設定については、LINE 社の「LINE OPENCHAT 公式ブログ」内の「ト
ークルームをつくってみよう」を参照(https://openchat-
blog.line.me/archives/1735068.html)。
14
詳細は、LINE 社ウェブサイト「LINE for Business」内の「LINE 公式アカウントをは
じめましょう」を参照(https://www.linebiz.com/jp/entry/)
。
15
LINE アプリのデフォルトの設定では Letter Sealing を利用する旨(ON)の設定となっ
ており、ユーザーが明示的に利用しない旨(OFF)の設定を行わない限り Letter Sealing
による暗号化が実施されている。なお、複数人又はグループでのトークで人数が 51 人以
上のときは Letter Sealing の適用はない。
22
メッセージ等を閲覧することができない仕組み16となっている17。
技術検証部会は、このようなモニタリングのためのツールである LMP の開発及び
保守業務の一部を LINE China 社が行っていたことを踏まえ、LINE China 社から外
部の組織に対する LMP に関する情報の漏えいの有無を含むデータ取扱いの実態等を
検証した。具体的には、LMP へのアクセスに関する調査として、LINE China 社にお
ける、a LMP アカウントの発行状況の分析、b LMP に対する開発・保守の履歴の分
析及び c LMP へのアクセスログの分析を実施した。また、LINE 社の中国の開発拠点
の調査として、a LMP に関する開発の依頼内容の整理及び b LMP の開発保守対象と
なった具体的な個人情報データベースへのアクセス業務内容の整理を実施した。こ
れらの調査は外部のセキュリティベンダーに委託して実施した。
② 検証結果
調査の結果、LINE China 社の従業員による LINE アプリのトークに関して通報さ
れたメッセージに係る情報(メッセージ内容だけでなく、ユーザープロフィール等
の関連情報を含む。
)を閲覧し得る権限によるアクセスは、調査対象期間(2020 年 3
月 19 日から 2021 年 3 月 19 日)において、139 件存在したことが判明した。そして、
これらのうち LINE アプリのトークに関して通報されたメッセージの内容を直接閲覧
し得るページ(URL)へのアクセスは、調査対象期間(2020 年 3 月 19 日から 2021
16
当該テキストメッセージ等のデータを暗号化及び復号するには、公開鍵暗号方式を用い
て共有された共有鍵が必要となり、E2EE において、この共有鍵は、LINE アプリのトーク
ルームに参加する当事者間のクライアント端末においてのみ生成及び保存され、LINE 社
がこれを取得し、又は生成することはできない。そして、E2EE においては、トークルー
ムに参加する当事者間のクライアント端末でテキストデータの暗号化が行われた上でデー
タが送信されるため、LINE 社が取得するのは暗号化されたテキストデータとなる。LINE
社は、上記のとおり、共有鍵の取得や生成の手段がないことから、暗号化されたテキスト
データを復号することはできない。なお、共有鍵は、各ユーザーが保有する秘密鍵及び
LINE 社に保存されている相手方の公開鍵を取得して生成する。LINE 社は、各ユーザーの
ID 及び当該 ID に紐づけられた公開鍵を保存しており、各ユーザーの秘密鍵は各ユーザー
のクライアント端末にしか保存されない。また、各ユーザーの公開鍵は、LINE アプリの
トークルームから暗号化キーとして表示して確認することができる。
なお、技術検証部会においては、Letter Sealing の実装の適切性やアルゴリズムの適切性
等の技術的検証は行っていない。
17
詳細は、LINE 社ホームページ「LINE 暗号化状況レポート」を参照
(https://linecorp.com/ja/security/encryption/2020h1)。
23
年 3 月 19 日)において、35 件存在したことが判明18した。
これらは、開発及び保守プロセスにおける正規の作業であるということが確認さ
れた。このことから、技術検証部会におけるこれらの調査による限り、調査対象期
間(2020 年 3 月 19 日から 2021 年 3 月 19 日)において、LINE China 社から外部の
組織に対して、LMP に関する情報の漏えいは認められなかった。
なお、調査の過程において、LINE China 社における LMP に対するアクセスに関
するログについて、個人情報にアクセス可能なページ(URL)へのアクセスの記録
は存在していたものの、そのページにおいて具体的にどのような操作を行ったのか
について事後的に検証を可能とするための記録が一部十分に保存されていないこと
が判明したこと等から、技術検証部会から LINE 社に対して、開発プロセスの承認や
管理の記録方法やログ保存方法について改善要望を行った。
調査の詳細については、本委員会第二次報告書第 14~18 頁「イ LMP に関するデ
ータ取扱いの実態等の検証」を参照いただきたい。
(4)LINE 社による改善策・改善結果
LINE 社は、2021 年 3 月時点において、中国からの日本ユーザーの個人情報へのアク
セスを排除しており、日本ユーザーの個人情報を取り扱う業務及び LINE アプリに関連
する機能・サービスに係る業務については、2021 年 3 月下旬までに、中国での業務を
終了するなどの対応を行った19。その後、LINE 社は、2021 年 8 月 4 日付プレスリリー
スで中国における業務方針について公表している20。
18
2021 年 3 月 23 日に LINE 社が行った個人情報保護委員会及び総務省への報告において
は、LINE アプリのトークに関して通報されたメッセージに係る情報を閲覧し得る権限に
よるアクセスについては 132 件、そのうち LINE アプリのトークに関して通報されたメッ
セージの内容を直接閲覧できる URL へのアクセスは 32 件としていた。しかし、調査の過
程で LINE 社における調査漏れの存在を認識したことから、LINE 社は、LINE アプリのト
ークに関して通報されたメッセージに係る情報を閲覧し得る権限によるアクセスについて
は 132 件から 139 件に、LINE アプリのトークに関して通報されたメッセージの内容を直
接閲覧できるページ(URL)へのアクセスについては 32 件から 35 件に、それぞれ変更し
た。
19
詳細は、本委員会第二次報告書第 21 頁「(ウ) LINE 社における対応等」を参照。
20
LINE 社においては、①日本のユーザーの個人情報を扱う業務及び LINE アプリに関連
する機能・サービスに係る業務について中国から撤退することとし(2021 年 3 月 23 日に
これらの業務を停止したところ、この方針を継続する。、他方で、LINE アプリに関連す
)
る機能でなく、かつ、日本ユーザーの個人情報を取り扱わない業務又はサービスの提供主
24
また、事後監査やモニタリングを強化するためのより詳細なログ保管及び保管期間
の見直しを内容とする「監査ログ管理・保管ガイドライン」を策定し、また、社内シ
ステムへのアクセスに係るログモニタリングについて定める「ログモニタリングのガ
イドライン」を策定し、LMP についてその運用を既に開始している。
(5)ZHD 社と LINE 社の経営統合に先立って行われたいわゆるデュー・ディリジェンスの
状況について
ZHD 社と LINE 社の経営統合に先立って行われたデュー・ディリジェンスについて、
本委員会第5回会合において ZHD 社から以下のとおり報告があった。
・技術的観点及び法的観点等を含む全般的かつ一般的なデュー・ディリジェンスを、
書面(QA シート)により質問・回答する方法及び口頭でのインタビューにより質
問・回答する方法で行った。
・法務観点のデュー・ディリジェンスに関し、ZHD 社は外部の弁護士事務所に実施
を委託した。
・ZHD 社における LINE 社との経営統合に向けたデュー・ディリジェンスにおいて、
中国を含む国外からの個人情報へのアクセスに関する質問・回答はなかった。
(6)本委員会の評価・提言
① 中国において開発・保守を行うに至った経緯等について
ユーザーの個人情報を取り扱う事業者は、ユーザー保護の観点から、ユーザーの
個人情報に対するガバメントアクセスのリスクを適切に評価し、データの保存場所
やアクセス範囲を慎重に判断しなければならない。
本事案においては、本件移管決定当時、国家情報法に関して日本国内で活発な議
論が行われていた形跡は確認できなかった。しかし、本件移管決定前後において、
少なくとも中国のサイバーセキュリティ法のリスクが日本国内で議論されていたこ
と等を踏まえると、LINE 社においては、通信の秘密を含むユーザーの個人情報を扱
う以上、国家情報法に限らず広く中国におけるガバメントアクセスのリスクを慎重
に検討する必要があった。
本件移管決定後、本事案が問題になるまでの間、国家情報法をはじめとする中国
におけるガバメントアクセスのリスクへの対応状況は、日本国内において企業によ
り多様であったといえる(詳細については本委員会第二次報告書第 19~20 頁「(イ)
検証結果」をご参照いただきたい。。しかし、2017 年 6 月 28 日の国家情報法施行以
)
体が LINE グループの海外法人で、日本以外の国又は地域のユーザーをメインターゲット
にしたサービスに関わる業務については、必要に応じて中国で実施することとした。
https://linecorp.com/ja/pr/news/ja/2021/3857
25
降、あるいはそれ以前であっても、中国拠点における情報の取扱いについて慎重な
対応をとる企業が一部に存在するところ、上記のとおり、LINE 社は通信の秘密を含
むユーザーの個人情報を扱う以上、中国法に関するリサーチの対象やリスク評価の
範囲を継続的に見直すべきであった。
この点について、セキュリティ部門担当者によれば、中国に関するサイバーセキ
ュリティリスクとして、例えば、Huawei に代表される中国企業の製品利用に関わる
リスクや、中国のハッカー集団による攻撃リスク等、中国企業や政府に絡んだサイ
バー攻撃のリスクを認識し、分析・対応していたとのことであった。このことから
すれば、セキュリティ部門がこれらのサイバーセキュリティのリスクを認知して経
営陣に報告したにもかかわらず、経営陣は、それと密接にかかわるガバメントアク
セスのリスクとしても受け止めて、経営上の課題として適切に取り上げ、ガバメン
トアクセスのリスクへの必要な対応を取ることができなかったと言わざるを得ない
と、本委員会は考える。このように経営陣が LINE 社に求められるガバメントアクセ
スのリスクの検討やそれへの対応を怠ったと考えられ、結果、通信内容である送受
信されたテキスト、画像、動画及びファイル(PDF など)のうち、ユーザーから通
報されたものについて、個人情報保護法制が著しく異なる中国の委託先企業からの
継続的なアクセスを許容していたことは、極めて不適切であったと、本委員会は判
断する。
なお、令和 2 年改正個人情報保護法(2020 年春施行予定)の施行後は、本人の同
意に基づいて外国にある第三者に個人データを提供する場合については、①当該外
国の名称、②適切かつ合理的な方法により得られた当該外国における個人情報の保
護に関する制度に関する情報、③当該第三者が講ずる個人情報保護のための措置に
関する情報を当該同意取得時に提供することが法的に義務付けられることとなり、
LINE 社及び ZHD 社は、これに係る対応も適切に実施していく必要がある。
後述のとおり、本委員会は ZHD 社から、ガバメントアクセスのリスクを含む経済
安全保障分野の諸外国の法令等の制定の状況及びその影響等に応じて、グループ会
社が守るべきルールや留意すべき点をまとめたガイドライン等を策定し、グループ
会社においてはこれに従った取扱いをするよう体制を整えるという報告を受けてい
るが(詳しくは第 6 章 1.(84~85 頁)参照)
、LINE 社における実施を含めて当該体
制の適切な運用を期待する。
② LINE 社による改善策・改善結果について
LINE アプリは、日本国内において約 8,900 万人(2021 年 9 月末時点)の月間アク
ティブユーザーを有するコミュニケーションサービスであり、そのサービスの規模
はもとより、人々の生活に欠くことのできないコミュニケーションを提供するサー
ビスであって、その社会的な意義は大きく、社会インフラを提供するサービスとい
うべきものである。そのため、日本と個人情報保護法制が異なる他国からのアクセ
26
スによってユーザーの権利利益に影響を及ぼすことがあり得る以上、LINE 社は、そ
のようなリスクの有無や程度について慎重に評価する必要があった。
LINE 社は、日本のユーザーの個人情報を扱う業務及び LINE アプリに関連する機
能・サービスに係る業務について中国から撤退する方針を発表しているが(注 19 参
照)、当然ながらこの確実な遵守が求められるところであり、ZHD 社においてもその
遵守状況について適切に監督すべきである。また、本委員会は、①で述べた本事案
の評価及び法制度への対応を踏まえて、LINE 社の経営陣が、セキュリティ部門や法
務部門などからの様々なリスクに関する報告や提言を、経営上の課題として適切に
取り上げ、必要な対応をとるための体制の整備及び強化を実施するよう、提言する
(詳しくは第5章1(2)参照)
。
③ 事後検証を可能とするためのログの保存について
事後検証を可能とする観点からのログの適切な保存を実現するための措置につい
ては、本委員会第二次報告書において指摘した事項であり(本委員会第二次報告第 2
の 1(1)イ(ウ)「指摘事項」
(18 頁)、個人情報保護委員会からの 2021 年 4 月 23 日付
)
行政指導及び総務省からの 2021 年 4 月 26 日付行政指導においても指摘されている
事項であるところ、本委員会は、これらに基づき適切な組織的な措置が講じられた
ものと評価する。他方で、これが実務上適切に運用されていくことが求められるこ
とは言うまでもなく、LINE 社が引き続き責任をもってその確実な運用を行うことを
希望する。
2. 韓国のデータセンターから日本データセンターへのデータ移転
(1)検証事項
LINE 社は、LINE アプリのトークで送信された画像、動画及びファイルを韓国に所
在するデータセンターで保管していたところ、本事案に係る報道を受けて 2021 年 3 月
23 日に日本に所在するデータセンターへの移転計画を公表した。また、同年 5 月 12 日
に開催された第 6 回技術検証部会において、以下の表に示すスケジュールで、LINE ア
プリのトークで送信された日本ユーザーの画像、動画及びファイルについて、日本の
データセンターへの移転を行う旨説明した。そこで、本委員会は、上記移転が適切に
行われ完了しているかを検証した。
タスク スケジュール
移転のための機能開発 2021 年 5 月 12 日までに実施
QA(移転のための機能のテスト) 2021 年 5 月 13 日から 2021 年 5 月 22 日
移転のための機能のリリース 2021 年 5 月 24 日
27
一部の日本ユーザーに対する先行適用 2021 年 5 月 25 日から 2021 年 6 月 11 日
全ての日本ユーザー対象で移転の開始 2021 年 6 月 13 日
全ての日本ユーザーのデータ移転完了 2021 年 6 月 30 日
また、その他の韓国のデータセンターで保管されているデータ及び日本のデータセ
ンターへの移転のスケジュールは、以下の表のとおりである21。これらのデータの移転
につき、移転が完了した部分(下図の緑色部分)について、それが適切に行われたか
否かを技術検証部会が確認した。
21
LINE 社の「LINE のグローバルデータガバナンスの現状と今後の方針」
(2021 年 3 月
23 日)におけるデータ移転の説明に関し、技術検証部会によるデータ移転計画の調査にお
いて、LINE 社が、Keep サービスについては 2022 年上半期、アルバムサービスについて
は、2024 年上半期にデータ移転を計画していることが判明したことについては、本委員会
第一次報告書 15 頁「6. データ保存関係の事実:改善策」を参照。
28
【データの国内移転スケジュール(2021 年 10 月 1 日時点)22】
※1 ファイルデータ:Word、Excel、PDF、音声ファイルなどのファイルデータ
※2 トーク、タイムラインを始めとする各種サービスでユーザーから通報を受けたコンテンツ
22
https://linecorp.com/ja/data_transfer/
29
(2)検証結果
技術検証部会は、LINE アプリのトークで送信された日本ユーザーの画像、動画及び
ファイルの保存場所を示す情報が、韓国のデータセンターから日本のデータセンター
に変更されていること等23を確認するとともに、これらの画像、動画及びファイルの日
本のデータセンターへの保存場所の変更について、LINE 社が公表したスケジュールに
従って適切に実施されたことを確認した24。なお、データ移転の方法については、本委
員会第二次報告書 23 頁「(イ)移転の方法」を参照されたい。
また、韓国のデータセンターで保管されているその他のデータについても、既に完
了した日本のデータセンターへの移転については、LINE 社が公表したスケジュールに
従って適切に実施されたことを確認した。
(3)ZHD 社と LINE 社の経営統合に先立って行われたいわゆるデュー・ディリジェンスの
状況について
ZHD 社と LINE 社の経営統合に先立って行われたデュー・ディリジェンスについて、
本委員会第5回会合において ZHD 社から以下のとおり報告があった。
・技術的観点及び法的観点等を含む全般的かつ一般的なデュー・ディリジェンスを、
書面(QA シート)により質問・回答する方法及び口頭でのインタビューにより質
問・回答する方法で行った。
・法務観点のデュー・ディリジェンスに関し、ZHD 社は外部の弁護士事務所に実施
を委託した。
・ZHD 社のセキュリティ担当者からの LINE 社のセキュリティ担当者へのサーバー
の所在地に関する質問に対して、画像やゲームのサーバーは韓国にもある旨の回
答があったことが確認されたが、この回答から個人情報が韓国のサーバーに保管
されていると認識するに至らなかった。
23
技術検証部会は、上記のほか、LINE アプリのトークで送信された日本ユーザーの画
像、動画及びファイルの保存先を韓国のデータセンターから日本のデータセンターに変更
する機能のリリース後、日本のデータセンターのストレージ使用量が増加し、それに呼応
する形で、従来その保存に使用していた韓国のデータセンターのストレージ使用量が減少
したことを確認した。また、上記機能リリース後、日本のデータセンターのトラフィック
が増大し、それに呼応する形で韓国のデータセンターへのトラフィックが減少しているこ
とを確認した。
24
なお、LINE アプリのトークで送信された日本ユーザーの画像、動画及びファイルの保
存先を韓国のデータセンターから日本のデータセンターに変更する作業は、当初の計画よ
り早まり、技術検証部会は、2021 年 6 月 21 日に全ての日本ユーザーのデータ移管の完了
を確認した。
30
(4)本委員会の評価・提言
既に実施された日本へのデータ移転については予定どおりのスケジュールで適切に
実施されたことを確認したところ、今後のデータ移転についても、ZHD 社において適
切に監督し、その確実な実施を確認するべきである。
3. 個人情報保護委員会・総務省報告
(1)指導内容
本委員会第二次報告書にも記載のとおり、個人情報保護委員会からは 2021 年 4 月 23
日付けの行政指導により、また、総務省からは 2021 年 4 月 26 日付けの行政指導によ
り、LINE 社に対し、大要、以下 3 点が課題として指摘された(本委員会第二次報告書
28~29 頁「イ 個人情報保護委員会・総務省からの指導内容」参照)25,26。
まず、①委託先に対し、自らが講ずべき安全管理措置と同等の措置を講じるために
必要かつ適切な監督を行う必要がある旨指摘された。具体的には、委託先に対するア
クセス権限付与に係る検討、必要な技術的安全管理措置の構築、不正閲覧等の防止の
ためのログの保存・分析等の組織的安全管理措置の構築、委託先の見直し、監査等の
委託状況の適切な評価についての指導がなされた。
また、②トーク履歴等の通報機能使用時に利用者に示される文言27について、個人情
25
LINE 社は、2021 年 3 月 23 日に報告徴求命令に対する報告書を個人情報保護委員会に
提出するとともに対応方針を発表し、同年 4 月 23 日に同委員会より受けた個人情報保護
法第 41 条に基づく指導に関する改善策を公表した後、同年 5 月 21 日(第 1 回) 月 23
、6
日(第 2 回) 月 21 日(第 3 回) 月 23 日(第 4 回)及び 9 月 22 日(第 5 回)に指
、7 、8
導事項に係る改善措置報告書を提出した(本委員会第二次報告書 28 頁「ア 報告の経緯」
参照)
。
26
LINE 社は、2021 年 4 月 19 日に報告徴求命令に対する報告書を総務省に提出し、同月
26 日には同省より受けた指導に関する改善策を公表した後、同年 5 月 31 日に指導事項に
係る改善報告書を同省に提出した(本委員会第二次報告書 28 頁「ア 報告の経緯」参
照)。
27
本来、
「通報すると、対象となるユーザーの情報に加えて、受信した直近 10 件までのト
ークメッセージ、通報するタイムライン投稿、または通報するトークメッセージとその前
後に受信した 9 件までのトークメッセージのいずれかを送信します。
」と表示されるはず
であったが、「通報すると、当該ユーザーおよびグループの情報を送信します。」旨の誤っ
た内容が表示されていた。LINE 社は、当該表示を、2021 年 3 月 28 日から同月 30 日に正
しい表示に修正し、さらに、文言のわかりやすさの観点から、4 月 27 日に再度修正した。
31
報取得時の通知内容の適切性を確保し、また、通信の秘密に関する情報の適切な取扱
いを確保する観点から、取得する個人情報の範囲をより分かりやすく通知するととも
に、通知内容が適切に表示されているか確認する体制を整備するよう指導がなされた。
さらに、③社内システムに関する安全管理措置に関し、アクセス管理の徹底、開発
プロセス及び開発組織のガバナンスの強化、社内システムに関するリスク評価等を通
じた透明性・アカウンタビリティの向上についての指導がなされた。
(2)LINE 社による改善策
本委員会第二次報告書にも記載のとおり、LINE 社は、上記の指導内容を踏まえ、以
下のような具体的な改善策を検討・実施している。また、LINE 社は、各改善策に関し
て、それぞれ所管部署を定め、各所管部署が責任を持って対応に当たることとしてい
る。
項目 改善策の概要 実施時期等
技術的安全管理措置(所管部署:セキュリティセンター)
標準プロ アクセス権限管理の強化を目的とし 実施済
セスの策 た、アクセス権限付与に係る標準プロ
定及び各 セスである「アクセス権限管理ガイド
システム ライン」の策定
への適用 LMP への適用 「アクセス権限管理ガイドライ
ン」に従った運用を開始済
その他個人データを取り扱っているシ 個人データの機微性を考慮するな
ステムへの適用 どして優先順位をつけ、各システ
ムに標準プロセスに従ったアクセ
ス権限付与の運用を順次適用(現
在適用対象となるシステムを選定
中)
認証の仕 効果的・効率的に運用できる認証の仕 2021 年中にグループの社内共通認
組みの強 組みの導入 証基盤への導入を完了予定
化
プロセス 定期的なアクセス権限棚卸しの実施を 2022 年 3 月末までに完了予定(チ
運用監督 各サービスプロダクトのアクセス権限 ェックシート等は作成完了)
管理者に依頼するとともに、チェック
シート等を用いて標準プロセスに従っ
た権限付与運用がされているかを点
検・監督やそれに基づく指導
32
項目 改善策の概要 実施時期等
組織的安全管理措置(所管部署:セキュリティセンター)
・ログの 事後監査やモニタリングを強化するた 実施済
保存方針 めのより詳細なログ保管及び保管期間
及びログ の見直しを内容とする、「ログ管理・
のモニタ 保管ガイドライン」の策定
リング方
針の策定 社内システムへのアクセスに係るログ 実施済
・各シス モニタリングについて定める「ログモ
テムへの ニタリングのガイドライン」の策定
適用 LMP への適用 「ログモニタリングのガイドライ
ン」に従った運用を開始済
その他個人データを取り扱っているシ 個人データを取り扱っているシス
ステムへの適用 テムを対象とし、個人データの機
微性を考慮するなどして優先順位
をつけ、各システムに順次適用
委託先における個人データの取扱い状況の把握(定期的な監査)(所管部署:セキュリ
ティセンター、リスク管理室)
定期的な グループ会社である委託先に対して、 LINE グループ外国法人 14 社に対
監査 委託開始時及び委託開始後は年 1 回の して実施済
頻度で、委託先チェックシートを用い
て委託先から個人データの取扱い状況
の報告を求める
上記報告における発見事項を踏まえた 2021 年度監査計画を策定済
監査計画の策定
上記監査計画に従った監査の実施 2022 年 3 月末までに各グループ会
社のセキュリティ監査を実施予定
開発プロセス及び開発組織のガバナンスの強化(所管部署:セキュリティセンター、
CTO 室28)
28
CTO 室は、海外子会社を含む LINE グループにおける開発業務のシステム化及び技術
戦略体系化、開発組織における開発ガバナンスの管理、並びに、全社横断の技術プラット
フォームプロジェクト管理(下記 Harmonia TF を含む。)及び開発組織運営等を目的として
33
項目 改善策の概要 実施時期等
セキュリ セキュリティレビューが未実施である 実施済
ティチェ ものを対象に、セキュリティレビュー
ック及び の実施
相互コー 相互コードレビューが実施されずに最 運用を開始済(順次導入)
ドレビュ 終コード反映が行われたことを検知す
ー未実施 る仕組みを導入し、検知された場合に
状況への 即座に是正できる体制を構築
対応 自動的にソースコードセキュリティ診 2021 年末までに開発完了・導入を
断を行う仕組みの導入 予定
開発プロ 開発プロセスの社内標準の策定 策定済
セ ス 運 策定済みの社内標準プロセスを速やか 今般各省庁から指摘された事項を
用・監督 に周知のうえ、適宜運用を開始 優先的に周知して運用を開始
の強化
社内システムに関するリスク評価等を通じた透明性・アカウンタビリティの向上
外国の法 ZHD 社と連携した、外国法制による影 連携開始済
的環境に 響等への把握強化と適切なポリシー反
よる影響 映(所管部署:セキュリティセンタ
への留意 ー、LINE グループ渉外室、法務室)
データの 韓国のデータセンターに保管される日 順次移転中
日本国内 本ユーザーの個人データの日本国内移
移転につ 転(所管部署:CTO 室)
いて
米 国 リスク評価を行い、成熟度の見える 2021 年 7 月末までに、リスク評価
「 NIST 」 化、セキュリティ改善計画とあわせ を完了
が定めた て、リスク評価手法自体の改善にフィ 2021 年末までにリスク評価の範囲
サイバー ードバックし、継続的な改善を推進 を、一定の子会社へと展開
セキュリ (所管部署:セキュリティセンター) その他のグループ会社に対して
ティ基準 も、2022 年以降順次対象を拡大
への準拠
設置され、プロジェクトの開発ガバナンス体制の確認を目的とした開発チェックリスト・
プロセスの運用、グローバル開発拠点の技術的な課題・インシデント等の可視化及びハン
ドリング、並びに、開発組織の意見収集や伝達のためのコミュニケーション調整等を行っ
ている。
34
項目 改善策の概要 実施時期等
の推進
個人情報の適正取得
開発プロ 通報文言の設計用ドキュメントの見直 実施済
セスの整 し
備(所管 単体テストケースの充実 実装済
部 署 : リグレッションテスト実施範囲の見直 実施済
LINE 企画 し
セ ン タ
ー)
定期的な 通報機能企画担当者の設置 設置済
点検体制 通報文言確認の定期実施 初回実施済。今後、半期ごとに実
の 整 備 施予定(2 回目は 2021 年 10 月初
(所管部 旬に開始済(対応中))
署 : LINE
企画セン
ター)
通報文言 通報文言以外の LINE において表示さ 実施済
以外にお れる個人情報の取得に関する通知のリ
ける表示 スト化
(所管部 通報文言以外の LINE において表示さ 一回目の点検を 2021 年 10 月に実
署 : LINE れる個人情報の取得に関する通知が、 施予定
企画セン 意図したとおりに適切に表示されてい その後も定期的に実施予定
ター、セ るかについての点検
キュリテ
ィセンタ
ー)
さらに、LINE 社は、CEO の直下に ReLINE TF、CTO 直下に Harmonia TF という
TF(タスクフォース)を設置し、両 TF が、協働して各管轄部署による上記改善策の進
捗状況等の管理を行う予定である29。それぞれの TF の目的及び機能は下記のとおりで
ある。
29
LINE 社における TF は、必要に応じ、各組織の人員を横断的に配置し、特定の目的の
業務を遂行する有期の組織である。
35
全社的なガバナンス機能、リスク管理機能の強化と整理を行
うTFである。
総務省、個人情報保護委員会等からの指導に対する改善の推
目的
進と進捗管理を行う。
本TFに関しては今年度中(2022年3月まで)を活動期限(予
定)としている。
各部門の責任者が、各業務分掌の取組みについて統括し、進
ReLINE
捗成果を報告し、議論する。
TF
毎日1時間のReLINE TFの会議を開催し進捗共有や部署間での
調整を行う。
機能 代表取締役社長CEOも参加し、迅速な意思決定や部門を超え
た連携を行う(具体的な議論事例としてアクセス権限管理ガ
イドラインやモニタリングガイドライン策定の進捗確認及び
内容についての検討等)。
インシデントハンドリングの方針決定、進捗確認を行う。
開発ガバナンスのための具体的な実行を担うTFである。
本TFも今年度中(2022年3月まで)を活動期限(予定)とし
ている。
目的 開発エンジニアが守るべきルールとその実現方法を明確に定
義する。
Harmonia
開発ガバナンスを持続可能な状態にするためのシステムプロ
TF
セス構築及び適用を担う。
Harmonia TFの定例会議は、週2回開催する。
開発規程の整備/開発ガイドラインの策定と適用を行う。
機能
開発管理情報システム構築と統制システムの開発·運用を行
う。
(参考:ReLINE TF の体系図)
36
(3)本委員会の評価・提言
本委員会は、改善策の全ての項目について実施済み又は着手していることを確認し
た。実施が完了していないものについては、具体的な実施スケジュールの下、引き続
き適切に実施していくべきである。
既に実施済みの改善策を含め、個人情報保護委員会及び総務省と引き続き連絡を取
りながら、さらなる改善が必要なものがあれば、積極的に改善策を提案し実施してい
くべきである。とりわけ安全管理措置に関する改善策の適切性については、社会情勢
等に応じて随時見直しを行うべきである。
37
第3章 LINE 社のガバナンスに関する検証結果及び LINE 社による改善策
1. LINE 社の越境移転に関する対外的なコミュニケーションについて
(1)中国からのアクセスに関するコミュニケーション
① コミュニケーションの実態(プライバシーポリシーを含む)
LINE アプリにおいては、トーク機能で送受信されるテキスト、画像、動画の一部
につき委託先中国企業からのアクセスがあったところ、LINE 社はこれに関して同社
のプライバシーポリシーにおいて「当社のパーソナルデータの提供先には、お客様
のお住まいの国以外の国または地域にある委託先、子会社、関連会社などの第三者
を含みます。」との説明を行っており、外国にある第三者からのアクセスがあること
については説明していたものの、具体的な国名について説明をしていなかった。
② LINE 社による改善策
LINE 社は、2021 年 3 月下旬までに LINE China 社への上記業務委託を終了し、中
国からの日本ユーザーの個人情報へのアクセスを遮断した。また、2021 年 3 月 31 日
にプライバシーポリシーを改定し、日本ユーザーの個人情報にアクセスする国又は
地域について、具体的な名称を一部記載することとした(上記のとおり、プライバ
シーポリシー改定時においては中国からの日本ユーザーの個人情報へのアクセスは
行われていないため、個人情報の移転先として中国は記載されていない。。
)
③ 本委員会の評価・提言
LINE 社は、LINE アプリが日本のコミュニケーションインフラを提供するサービ
スであることを深く自覚する必要があり、そのデータの取扱い等について誠実かつ
透明性高く説明しなければならない。このような観点から、LINE 社は、令和 2 年改
正個人情報保護法(2022 年春施行予定)の趣旨を踏まえ、具体的な移転先国又は地
域の名称や移転の対象となる情報、生じ得る本人の権利利益への影響の具体的内容、
越境移転の必要性の詳細等について、プライバシーポリシー等において積極的に開
示していくべきところ(第 2 章1.(6)①(25~26 頁)、法施行前の段階において
)
これに係る一部の措置を講じたことは評価できる。本委員会は、令和 2 年改正個人情
報保護法への対応を含め、引き続きユーザーの目線に立った誠実かつ透明性の高い
コミュニケーションを実施するよう求める。
(2)韓国でのデータ保存に関するコミュニケーション
① コミュニケーションの実態(プライバシーポリシーを含む)
LINE 社は、日本ユーザーが送受信したトークテキスト、LINE ID やメールアドレ
スなどの利用者情報の多くを日本のデータセンターに保管し、他方でその送受信し
た画像、動画、ファイル(PDF など)については韓国のデータセンターに保管して
38
いた。これに関し、LINE 社は以下のような説明方針の策定及び説明を行ってきた。
・2013 年: ユーザー増加に伴う取材や問い合わせの増加を受けて、報道用 FAQ
やそのドラフト段階での表現として、
「LINE のサーバーは日本にあるため、日本の法令を遵守した上で運
営されている」 「LINE を構成する主要なサーバーはすべて日本国内
、
にあります。」
・2015 年: セキュリティ&プライバシーサイトにおいて説明されたサーバーの所
在地として、
「LINE のデータセンターは世界複数箇所にありますが、主要なサー
バーは日本のデータセンターに集約されており、個人情報は日本の法
令に従い管理されます。
」
「LINE を構成する主要なサーバーは日本国内にあり、LINE は日本法
に準拠して運用されています。
」
・2018 年: セキュリティに関する説明用の冊子である「安心安全への取組み」に
おける説明として、
「LINE の個人情報を取り扱う主要なサーバーは、日本のデータセン
ターで管理しています。
」
個人情報がサーバーに保管されるものであるということを前提にすれば、LINE 社
は、表現に多少の違いはあるが、継続的に「LINE の個人情報を扱う主要なサーバー
は日本国内にある」との趣旨の説明を行ってきたものと認められる。
なお、LINE 社の日本ユーザーのデータの保管場所に関する説明の詳細については、
本委員会第二次報告書 35 頁「ア 日本ユーザーのデータの保管場所に関する対外的な
説明の概要」を参照いただきたい。
② 当該コミュニケーションに関する意思決定の状況
LINE 社は、2013 年に「LINE の個人情報を扱う主要なサーバーは日本国内にある」
との趣旨の説明を行うことを決定し、その後も継続して同様の説明を行ってきた。
2013 年時点においては、LINE ID・メールアドレス等の LINE アプリの利用者情報
の多くは日本で保管されており、韓国のデータセンターに保管されている画像・動
画・ファイル(PDF など)は本人の氏名や電話番号などの情報とは紐づかない保管
構造となっていることから、当時の LINE 社の経営陣が、上記回答方針を策定した。
なお、データの保管状況に関し、データ量という観点では、韓国に保存されていた
画像、動画及びファイルは、日本に保存されていたトークテキストに比べてデータ
量が相対的に大きいため、韓国に保存されていたデータが多くなるものの(8 割強)、
送信数を基準にするとコミュニケーション全体の 8 割以上を占めるトークテキストは
日本に保存され、関連するサーバーの数という観点では、その 8 割以上が日本に存在
することが確認されている。また、その後についても、2021 年 3 月に本事案が発生
39
するまで、LINE 社が当該説明内容を見直すことはなかったが、この点については、
LINE 社の経営陣が見直しをすべきという問題意識を持っていなかったことが確認さ
れている。また、データの保管等を所管するセキュリティ部門も、対外説明の内容
を見直すべき必要性を認識していなかったことが確認されており、当該部門から
LINE 社への経営陣への問題提起等もなされていなかった。
このような意思決定がなされ、また見直しをすべきという問題意識をもっていな
かったことに関して、本委員会では、
・2014 年に行われた「韓国当局に LINE アプリの日本ユーザーの通信内容が傍受
されている」旨の報道30が何らかの影響を及ぼしたか。
・LINE アプリに関するデータが一部韓国に保管されていることをそのまま説明す
ることがかえって風評リスクを拡大させうる状況が存在していたことも、詰め
た検討が行われてこなかった理由の 1 つになっていたのではないか。
といった点も議論になったところ、LINE 社からは、LINE 社が韓国企業を親会社に
持つことは周知の事実であったが、グローバルで画一的な価値観を浸透させること
でブランドを保つ競合他社が存在する一方、LINE 社はむしろ各国の多種多様な文
化・習慣を尊重することを重視し、「サービスをカルチャライズ(文化化)」するこ
とを会社の理念として掲げていることから、あえて韓国に言及する必要はなく、当
時の判断として日本のユーザーの不安を取り除く観点から日本にフォーカスを当て
る表現を用いたものであるとの説明があった31。
なお、「韓国当局に LINE アプリの日本ユーザーの通信内容が傍受されている」旨
の報道については、LINE 社からは、当時、「韓国に情報が漏洩しているといった誤
った情報」と判断したとの説明があった。また、その背景として、上記報道が行わ
れた当時、セキュリティ部門において事実確認を行い、そもそも情報経路が暗号化
されていること、傍受・外部送信等の不正アクセスがあったという形跡がないこと
から報道の事実はないものと判断し、その旨を当時の経営陣に報告した旨の説明が
あった。
③ LINE による改善策
LINE 社においては、韓国でのデータ保存に関するコミュニケーションについて、
『韓国国情院が LINE 傍受』「FACTA」2014 年 7 月号
30
、
31
LINE 社における社内調査の結果報告においては、①当時、韓国に言及することで、か
えって風評リスクを拡大させ得るような状況が存在したことや、②日本のユーザーに広く
受け入れられ、安心して利用してもらいたいという LINE 社のポリシーに加えて、説明内
容の基礎となる事実関係に関する確認や社内の情報共有が必ずしも十分でない状況があっ
たことも、要因と考えられる旨が指摘されている。
40
以下のとおりの改善策を講じる旨の報告があった。なお、当該改善策は公共政策・
政策渉外部門におけるコミュニケーションの改善策(第 3 章 2.(1)⑥「LINE によ
る政策渉外活動に関するガバナンス上の課題の認識と改善」
(48~49 頁を参照)とあ
わせて報告された。
抽出された課題 改善策
・ユーザーへのア ・ユーザー目線を意識したアカウンタビリティの強化
カウンタビリテ 透明性・正確性を持った 従前から行っていた関係部署(セキュ
ィに対する認識 開示の徹底 リティ、法務、管掌役員等)への確認
が甘かった。 プロセスに加え、データの取扱いに関
・会社目線でのミ するものや重要度の高いものについて
スリーディング はリスク管理部門やコンプライアンス
な回答方針の決 部門への確認プロセスを追加した。ま
定がなされてい た、事実関係の確認が必要な ものは
た。 ReLINE TF(第2章3.(2)(36~37
頁)を参照)への確認を実施する取組
みを開始した。
外部目線を入れたアドバ ZHDにおいて、年内の設置に向けて現
イザリーボードの設置 在検討中
アカウンタビリティの視 コンプライアンス部門で実施している
点を入れた従業員CSR意 従業員意識調査にアカウンタビリティ
識調査の強化 の観点の質問を追加する(今年度中に
実施予定の調査より開始)。
・発信内容の正確 ・対外コミュニケーションに関するルール等の明確化
性・適切性を確 関連規程・マニュアル等 渉外に関する対外コミュニケーション
保する手続が十 の整備・見直し マニュアルを作成した。
分に整備されて 関係部署の責任権限の明 ガバナンスにおけるいわゆる「3ライ
いなかった。 確化 ン・モデル」(本委員会第二次報告書
・発信内容やその 56頁「2 ZHD社におけるデータガバナ
趣旨・背景につ ンスの全体構造」を参照)の第1線と
いて正確な理解 第2線の分担と区分けを徹底し、政策
を共有する機会 渉外活動を行う部門を特定の部門に限
が設けられてい 定し、他部門が渉外活動を行う場合は
なかった。 当該部門が同席するルールを徹底し
た。
41
抽出された課題 改善策
上記ルール等の定着(周 業務の実施にあたって官公庁等とのコ
知、社内教育の実施等) ミュニケーションが生じ得る「MSカ
ンパニー」、「AIカンパニー」、公共
政策部門及び政策渉外部門向けの研修
を2021年10月までに開始。全社向けの
コンプライアンス部門によるセミナー
を来年度から開始する予定。
重要ポリシーの趣旨・背 マニュアル及び付属書類を2021年10月
景に関する正確な理解を までに策定し、以降年次改定を予定。
共有するマテリアル(逐
条解説等)の策定
・対外コミュニケ ・重要な対外コミュニケーションの事後検証の仕組みの整備・充
ーションの事後 実
検証の仕組みが 口頭を含む発信内容の記 会合の議事録を保存する 取組みを開
十分に整備され 録化 始。また、より事後検証がしやすいシ
ていなかった。 ステムを導入する。システムについて
は協議中。
経営層への報告 資料等の事前チェック及び議事録の事
後検証により認知した事項等の定期的
な報告を実施。
管理部門・内部監査部門 「 MS カ ン パ ニ ー 」 、 「 AI カ ン パ ニ
によるモニタリング等 ー」、公共政策部門の官公庁等とのコ
ミュニケーションについて政策渉外部
門がモニタリングを開始。また、重要
度によりコンプライアンス部門によっ
て資料等